Pour ce nouvel article nous allons nous intéresser à gestion de la stratégie de mot de passe dans un domaine Active Directory. L’environnement utilisé pour réaliser cet article est composé d’une forêt mono-domaine Active Directory : « AD1.local ». L’environnement est géré par 2 contrôleurs de domaines en Windows 2012 R2 : « W2012R2DC1 » et « W2012R2DC2 ».
Dans cet article nous allons voir la mise à jour d’un schéma Active Directory dans un environnement à plusieurs sites. Nous parlerons des problèmes liés à la latence de réplication ainsi que de quelques bonnes pratiques.
Je vous conseille de suivre le Webcast ci-dessous présenté lors des Tehdays 2014 à Paris :
Dans cete article nous allons présenter l’outil « Active Directory Replication Status Tool ».
Il est téléchargeable à l’adresse « http://www.microsoft.com/en-us/download/details.aspx?id=30005». Il peut s’installer sur un poste client, il n’est pas nécessaire de l’installer directement sur le contrôleur de domaine. Si vous souhaitez installer en plus les outils de gestion de serveurs vous pouvez suivre le lien http://pbarth.fr/node/100 .
Dans cet article je vais vous parler de l’audit Windows et de l’intérêt de sa mise en œuvre dans un domaine Active Directory. L’audit est un élément complexe à appréhender et rarement configuré dans les PME. Les paramètres appliqués sont souvent les paramètres par défaut. Le premier élément à prendre en compte est qu’il n’est pas évident de déterminer le profit que l’on peut en retirer. Le deuxième élément est que le sujet n’est pas simple à préparer. En effet au moment de sa mise en place il est difficile d’estimer quels éléments on souhaitera retrouver.
Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags » et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.
Par défaut sur Windows 2008 et supérieur, lorsque vous créez et modifier une stratégie de groupe, le serveur utilise les modèles d’administration définie dans le dossier « c:\windows\PolicyDefinitions » du contrôleur de domaine.
Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.
Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.
Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.
ADMT permet également de migrer des ordinateurs vers le nouveau domaine. Vous me direz sans doute que vous pouvez sortir l’ordinateur de l’ancien domaine pour l’intégrer dans le nouveau.
Dans ce cas-là un certain nombre d’éléments ne seront pas repris. Par exemple si votre ordinateur contient des partages de Fichier, ADMT va automatiquement remplacer les permissions NTFS (ACL) par les SID des objets du nouveau domaine. De même les profils sont migrés par ADMT.
Afin de pouvoir migrer les mots de passe lors de la migration ADMT, il nous faut installer un outil sur le contrôleur de domaine de l’ancien domaine permettant d’exporter de manière sécurisé les mots de passe et de les transmettre à l’outil ADMT. Pour protéger ces communications il est nécessaire de créer une clé sur le serveur ADMT destinataire de l’information et de réutiliser cette clé sur le serveur source où nous installerons PES.
Pour cela nous ouvrons une « invite de commande » en mode administrateur sur le serveur ADMT.
Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise. Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.
L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.
Dans cet article nous verrons comment déployer un contrôleur de domaine sur un site distant, avec une bande passante faible en créant un support d’installation pour l’Annuaire AD évitant la copie de l’annuaire par le réseau lors de la promotion du DC.
Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.
Si l’apparence a pas mal évolué, le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.
Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :
Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ».
Il faut commencer par configurer une adresse IP Fixe.
Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».
Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.
Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.
Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt.
Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.
La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.
Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :
Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :
- Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture
- Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.
L’outil de sauvegarde existe en version graphique et en ligne de commande.
L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.
Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :
Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".
A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.
Je souhaitais consacrer un article sur l’utilisation des suffixes UPN dans Active Directory. Commençons par expliquer ce qu’est un UPN.
L’UPN ou User Principal Name est l’identifiant par défaut pour l’ouverture de session Active Directory. Son format ressemble à une adresse email avec la présence du caractère « @ ». Par exemple Paul sur le domaine « mondomaine.lan » possède un identifiant « paul@mondomaine.lan » :
Quelques éléments de base pour la maintenance Active Directory .
Surveiller la réplication de l’annuaire AD
- Repadmin : il est inclut dans les binaires du rôle de AD Domain Services depuis 2008. Dans les versions précédentes il fallait l’installer à partir des outils de support .
